基于位置服務(wù)的隱私保護(hù)綜述

魏興民 杜鵬懿

摘? 要：隨著社會(huì)的發(fā)展，技術(shù)快速進(jìn)步，高精度的定位設(shè)備使得我們能夠使用多種不同類型的基于位置服務(wù)（LBS）。這些設(shè)備獲得的位置信息包括十分隱私的個(gè)人信息，所以隱私保護(hù)成了現(xiàn)在基于位置服務(wù)最重要的問題之一。本文總結(jié)了三種基于位置服務(wù)的隱私保護(hù)方法，包括使用仿真品的匿名通信技術(shù)，使用人造的仿真品位置信息，讓服務(wù)提供者不能區(qū)分哪一個(gè)是真實(shí)的用戶信息。點(diǎn)對點(diǎn)的空間隱形方法，用戶使用自己的對等體作為代理，這些對等體將用戶的查詢消息轉(zhuǎn)發(fā)給服務(wù)提供者，實(shí)現(xiàn)了空間隱形。空間和時(shí)間隱藏方法，是通過權(quán)衡空間分辨率和時(shí)間分辨率，來滿足指定的匿名性要求。最后提出了自己的一些創(chuàng)新的研究思路和解決方案。

關(guān)鍵詞：隱私保護(hù);基于位置服務(wù);匿名;點(diǎn)對點(diǎn);空間隱藏;時(shí)間隱藏

中圖分類號(hào)：TP309? ? ? ?文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：2096-4706（2019）08-0154-04

Abstract：With the development of society，technology advances rapidly，highly accurate positioning devices enable us to entertain many different types of location-based services （LBS）. But location information obtained by these devices includes deeply personal information. Therefore，the protection of privacy has been one of the most significant issues of location-based services. This paper reviews three privacy protection methods for location-based services（LBS），including anonymous communication technique using dummies，this method use dummies together with real user information，so the service provider can’t distinguish which one is the real user information. Peer-to-Peer （P2P） spatial cloaking algorithm，in which user’s peers act as agents，they forward user’s queries to service provider，thus this method achieves spatial cloaking. Spatial and temporal cloaking method，in which spatial resolution and temporal resolution is traded off to meet specify anonymity requirement. Finally，this paper proposed some innovative research ideas and solutions.

Keywords：privacy protection;LBS;anonymity;P2P;spatial cloaking;temporal cloaking

0? 引? 言

近年來，計(jì)算機(jī)網(wǎng)絡(luò)和通信技術(shù)的飛速進(jìn)步使得移動(dòng)互聯(lián)網(wǎng)得到了迅速發(fā)展，隨之而來的位置服務(wù)使人們的生產(chǎn)和生活方式發(fā)生了很大變化。位置數(shù)據(jù)被用于各種不同類型的基于位置服務(wù)（LBS），如隨時(shí)都可網(wǎng)上預(yù)約滴滴出租車等。利用位置服務(wù)，用戶可先把真實(shí)位置信息提供給服務(wù)提供者，再從服務(wù)提供者那里獲取服務(wù)。發(fā)送數(shù)據(jù)之后用戶不能刪除或者修改已經(jīng)發(fā)送的信息，即用戶不能防止服務(wù)提供者根據(jù)存儲(chǔ)的真實(shí)位置數(shù)據(jù)分析用戶的運(yùn)動(dòng)模式。針對位置服務(wù)出現(xiàn)的隱私泄露問題，必須采取措施進(jìn)行隱私保護(hù)。本文對以往的一些基于位置服務(wù)的隱私保護(hù)方法進(jìn)行總結(jié)，然后提出自己的創(chuàng)新研究思路與解決方案。

1? 基于位置服務(wù)（LBS）的位置隱私

A.Beresford和F.Stajano將位置隱私定義為防止其他團(tuán)體根據(jù)某個(gè)人現(xiàn)在或者過去的位置進(jìn)行學(xué)習(xí)的能力[1]，且認(rèn)為一個(gè)系統(tǒng)能夠獲得位置數(shù)據(jù)侵犯了個(gè)人隱私。

在基于位置服務(wù)中，用戶發(fā)送的信息至少由用戶ID和用戶真實(shí)位置信息組成。本文假設(shè)用戶的ID不與用戶的隱私信息相連接，可使用假名。盡管用戶的ID是隱藏的，仍可能通過位置數(shù)據(jù)侵犯用戶隱私。如某人每天在固定時(shí)間都會(huì)一個(gè)地方，如果這樣的位置數(shù)據(jù)被累積起來被分析，那么便可推知此人的住址。為保護(hù)位置隱私，需匿名化位置數(shù)據(jù)。其匿名性的程度需考慮以下方面：

（1）普遍性。指對象存在于整個(gè)區(qū)域中。當(dāng)所有的用戶居住在相同的區(qū)域中，普遍性意味著對象存在于整個(gè)區(qū)域中，服務(wù)提供者可以指定用戶。另一方面，當(dāng)用戶居住在不同的區(qū)域中，服務(wù)提供者指定用戶很困難。因此，普遍性增強(qiáng)了整個(gè)區(qū)域中用戶的位置匿名性。

（2）擁擠性。指大量的對象存在于一個(gè)區(qū)域中，這源自M.Gruteser和D.Grunwald提出的k-anonymous[2]。用戶在一個(gè)區(qū)域中發(fā)送位置信息給服務(wù)提供者。當(dāng)許多用戶生活在這個(gè)區(qū)域中，服務(wù)提供者很難指定某一個(gè)用戶。這樣就增強(qiáng)了一個(gè)區(qū)域中用戶的位置匿名性。普遍性保證了每個(gè)用戶的位置匿名性，但擁擠性只保證了局部用戶的位置匿名性。

2? 使用仿真品的匿名通信技術(shù)

M.Gruteser和D.Grunwald提出匿名使用基于位置服務(wù)[2]，用戶發(fā)送的位置數(shù)據(jù)，精度被減少，然后被發(fā)送給服務(wù)提供者，如圖1所示，位置數(shù)據(jù)的精度用灰色區(qū)域表示，服務(wù)提供者只能學(xué)習(xí)到用戶位置的模糊的細(xì)節(jié)，這就增強(qiáng)了位置匿名性。但問題是通過追蹤幾分鐘的數(shù)據(jù)，觀察者能夠很容易地理解用戶的移動(dòng)。因?yàn)槲恢脭?shù)據(jù)創(chuàng)造出了一個(gè)粗略的軌跡。（b）用戶產(chǎn)生兩個(gè)與（a）不同的仿真品，它們能與真實(shí)的位置數(shù)據(jù)向不同的方向移動(dòng)，因?yàn)槠渌脩敉瑫r(shí)發(fā)送位置數(shù)據(jù)，用戶更加安全。

（a）準(zhǔn)確率縮減

（b）虛擬生成

2.1? 基本過程

為解決可追蹤問題，這篇文章提出了一個(gè)新的基于位置服務(wù)匿名通信技術(shù)，用戶發(fā)送包含噪聲的位置數(shù)據(jù)給服務(wù)提供者。噪聲包括一組被稱作“仿真品”的假的位置數(shù)據(jù)[3]。如圖2所示，服務(wù)的過程如下：

（1）一個(gè)基于位置服務(wù)（LBS）用戶從GPS設(shè)備獲得自己的位置信息r。

（2）仿真品在位置1和位置2處產(chǎn)生。

（3）用戶創(chuàng)造一個(gè)服務(wù)請求消息S，包括位置數(shù)據(jù)r、1和2，發(fā)送S給服務(wù)提供者。

（4）服務(wù)提供者創(chuàng)造一個(gè)服務(wù)應(yīng)答消息R，R應(yīng)答接收到的所有位置數(shù)據(jù)，并且把R發(fā)送給用戶。

（5）用戶接收R，并且只從R中抽取出必要的數(shù)據(jù)。用戶知道真實(shí)的位置數(shù)據(jù)，但服務(wù)提供者不知道。所以服務(wù)提供者不能從接收到的一組位置數(shù)據(jù)中識(shí)別出用戶真實(shí)的位置數(shù)據(jù)。這樣匿名服務(wù)就完成了。

2.2? 仿真品生成算法

仿真品生成算法的主要目的是使觀察者不能區(qū)別真實(shí)位置數(shù)據(jù)和仿真品。一般而言，每個(gè)對象在固定時(shí)間內(nèi)的移動(dòng)是有限的。如果隨機(jī)產(chǎn)生仿真品，那么很容易發(fā)現(xiàn)真實(shí)位置數(shù)據(jù)和仿真品之間的區(qū)別，因?yàn)槭褂没谖恢梅?wù)（LBS）需要位置數(shù)據(jù)是連續(xù)的。仿真品不能表現(xiàn)得和真實(shí)的位置數(shù)據(jù)完全不同。本文提出兩種不同的仿真品生成算法，來防止服務(wù)提供者發(fā)現(xiàn)真實(shí)的位置數(shù)據(jù)。

在領(lǐng)域內(nèi)移動(dòng)（MN）：如圖3（a）所示，仿真品的下一個(gè)位置是由仿真品的當(dāng)前位置的鄰域決定的。用戶的通信設(shè)備記住每個(gè)仿真品之前的位置，然后設(shè)備根據(jù)仿真品之前的位置產(chǎn)生新的仿真品位置。

在有限領(lǐng)域內(nèi)移動(dòng)（MLN）：如圖3（b）所示，仿真品的下一個(gè)位置也是由仿真品當(dāng)前的位置決定的。但是下一個(gè)位置也被當(dāng)前區(qū)域的密度所限制。這個(gè)算法是自適應(yīng)的，首先，用戶的通信設(shè)備獲得其他用戶的位置數(shù)據(jù)。然后，設(shè)備根據(jù)記憶產(chǎn)生仿真品，這和MN算法一樣。接著，如果有很多用戶在生成的小區(qū)域中，設(shè)備再一次產(chǎn)生仿真品。這個(gè)過程重復(fù)很多次。

3? 點(diǎn)對點(diǎn)（P2P）空間隱形算法

3.1? 算法概述

C.Y.Chow等人提出了用于匿名的基于位置服務(wù)（LBS）的空間隱形算法[4]，主要解決目前基于位置服務(wù)（LBS）的隱私問題，用戶向服務(wù)提供者報(bào)告他們真實(shí)的位置信息來獲得想要的服務(wù)。本文提出了點(diǎn)對點(diǎn)（P2P）空間隱形算法，主要思想是在查詢?nèi)魏位谖恢梅?wù)前，移動(dòng)用戶先使用單跳通信或多跳路由和他的對等點(diǎn)形成一個(gè)組。然后空間隱形區(qū)域被計(jì)算為覆蓋整個(gè)組用戶的區(qū)域。提出的P2P空間隱形算法支持按需模式和主動(dòng)模式兩種類型的操作。實(shí)驗(yàn)表明，使用按需模式操作比使用主動(dòng)模式操作具有更低的通信開銷和更好的服務(wù)質(zhì)量，但按需模式需要更長的響應(yīng)時(shí)間。

3.2? 算法介紹

在基于位置服務(wù)（LBS）中，用戶需要把他的真實(shí)位置數(shù)據(jù)發(fā)送給服務(wù)器。假如服務(wù)器不可靠，用戶的位置隱私將被侵犯。目前已經(jīng)有不少方法被提出來[5-7]解決此問題。一個(gè)可信的第三方被用作中間件，來把用戶的位置模糊化到一個(gè)空間區(qū)域中，以獲得k匿名性，即一個(gè)用戶不能從另外k-1個(gè)用戶中區(qū)別開來。這樣的集中式隱私保護(hù)策略有兩個(gè)缺點(diǎn)：

（1）集中式的第三方可能成為系統(tǒng)的瓶頸或者單點(diǎn)故障。

（2）集中式的第三方具有位置信息的全部知識(shí)和所有的用戶查詢，可能因第三方入侵引入嚴(yán)重的隱私威脅。

本文提出點(diǎn)對點(diǎn)的（P2P）的空間隱形算法，移動(dòng)用戶采用點(diǎn)對點(diǎn)空間隱形算法能夠保護(hù)他們的隱私，而不用尋求集中式的第三方的幫助。除了集中式方法的缺點(diǎn)，這個(gè)算法還有以下事實(shí)：

（1）大部分移動(dòng)設(shè)備的計(jì)算能力和存儲(chǔ)容量都以很快的速度增長。

（2）P2P通信協(xié)議，比如IEEE 802.11和藍(lán)牙已經(jīng)被廣泛部署。

（3）許多基于P2P信息共享的新應(yīng)用已經(jīng)快速成型，比如合作信息訪問[8，9]和P2P空間時(shí)間查詢處理[10，11]。

文章提出的P2P空間隱形算法能夠以按需模式和主動(dòng)模式操作。在按需模式中，當(dāng)移動(dòng)客戶端需要從基于位置的數(shù)據(jù)庫服務(wù)器那里獲得信息時(shí)，就執(zhí)行隱形算法。另一方面，在主動(dòng)模式中，移動(dòng)客戶端定期在周圍尋找，以發(fā)現(xiàn)預(yù)期數(shù)量的對等體。因此，在任何時(shí)候移動(dòng)客戶端想要從基于位置的數(shù)據(jù)庫服務(wù)器那里檢索信息時(shí)，都能夠把真實(shí)位置隱藏到空間區(qū)域中。文章的主要貢獻(xiàn)為：

（1）引入了一個(gè)分布式系統(tǒng)架構(gòu)來為移動(dòng)用戶提供匿名的基于位置的服務(wù)。

（2）提出了第一個(gè)空間隱形算法來為移動(dòng)用戶享受高質(zhì)量的基于位置的服務(wù)，而不使他們的隱私受到威脅。

（3）提供了實(shí)驗(yàn)證據(jù)來說明提出的算法在響應(yīng)時(shí)間方面的有效性，它對大規(guī)模移動(dòng)客戶也具有伸縮性，并且是有效的，它能為移動(dòng)客戶提供高質(zhì)量的服務(wù)而不需要真實(shí)的位置信息。

4? 通過空間和時(shí)間隱藏來匿名使用基于位置服務(wù)（LBS）

4.1? 算法概述

匿名能夠提供很高程度的隱私，使得使用服務(wù)的用戶不需要處理服務(wù)提供者的隱私策略，并且減少了服務(wù)提供者保護(hù)隱私信息的需要。然而，確保匿名使用基于位置服務(wù)，需要用戶傳輸?shù)木_位置信息不能被很容易地用來重新識(shí)別對象。這篇文章提出了一個(gè)中間件架構(gòu)和算法，它們能夠被集中式的位置代理服務(wù)使用。這個(gè)自適應(yīng)的方法沿著空間和時(shí)間維度調(diào)整位置信息的分辨率，來滿足規(guī)定的匿名性限制，基于給定的區(qū)域中可能使用位置服務(wù)的實(shí)體。

4.2? 算法介紹

M.Gruteser和D.Grunwald提出通過空間和時(shí)間隱藏來匿名使用基于位置服務(wù)[2]，研究了一種專注于最小化收集原理的方法。在這個(gè)方法中，基于位置的服務(wù)只收集和使用去個(gè)性化的數(shù)據(jù)，即匿名數(shù)據(jù)[12]，并承諾對兩方都有利。對服務(wù)提供者而言，匿名數(shù)據(jù)會(huì)產(chǎn)生更少的開銷。它可以不經(jīng)用戶同意，被收集，處理，然后分發(fā)給第三方。

實(shí)際的匿名需要對象不能從位置數(shù)據(jù)中被重新鑒別。如一個(gè)發(fā)送給地圖服務(wù)的消息，它由網(wǎng)絡(luò)地址，用戶ID和用戶當(dāng)前位置的坐標(biāo)組成。用戶ID和網(wǎng)絡(luò)地址是重新鑒別首先考慮要用的信息。對于匿名服務(wù)使用，用戶的ID可以被省略。網(wǎng)絡(luò)地址問題可以被Crowds[13]或者Onion Routing[14]這樣的機(jī)制解決，它提供了發(fā)送者匿名性。如果位置信息被記錄下來并且連續(xù)地分布，這個(gè)隱私問題便增大了。LBS中的匿名性必須在網(wǎng)絡(luò)中的多個(gè)協(xié)議棧層次得到解決，這取決于怎樣的實(shí)體可以被信任。這篇文章在應(yīng)用層解決匿名性問題，通過讓服務(wù)提供者訪問匿名位置數(shù)據(jù)，即位置信息被充分改變來防止重新鑒別。文章的主要貢獻(xiàn)是：

（1）一個(gè)位置匿名性正式的度量。

（2）一個(gè)自適應(yīng)的基于四叉樹的算法，它能夠降低位置信息的空間分辨率來滿足一個(gè)指定的匿名性限制。

（3）一個(gè)算法，它能夠通過降低時(shí)間分辨率來提高空間分辨率，以滿足同樣的匿名性限制。

（4）一個(gè)評(píng)價(jià)這些算法預(yù)期分辨率的方法，它是基于交通模型，交通模型由地圖材料和汽車交通計(jì)數(shù)組成。

5? 研究思路與解決方案

解決基于位置服務(wù)（LBS）的隱私問題時(shí)，位置匿名很重要。一個(gè)觀察者可以根據(jù)對象的位置信息在一個(gè)連續(xù)時(shí)間內(nèi)的變化，描述出對象的移動(dòng)軌跡。但想要描述就需要對象在一段時(shí)間內(nèi)的某個(gè)標(biāo)識(shí)不發(fā)生變化。否則，觀察者只能得到一些孤立的點(diǎn)，并不能辨認(rèn)哪一個(gè)位置信息是屬于哪一個(gè)對象的?；诖?，我覺得在解決LBS時(shí)，可使用完全隱藏用戶標(biāo)識(shí)的方法，這里的標(biāo)識(shí)包括用戶ID，網(wǎng)絡(luò)地址等各個(gè)方面。隱藏用戶的ID很簡單，可以在每次向服務(wù)提供者發(fā)送查詢時(shí)，不發(fā)送用戶ID，只發(fā)送網(wǎng)絡(luò)地址。要隱藏網(wǎng)絡(luò)地址，可以使用一些代理，用戶把帶有網(wǎng)絡(luò)地址的請求包發(fā)送給代理，由代理向服務(wù)提供者發(fā)送查詢。代理接收到服務(wù)提供者的響應(yīng)消息后再轉(zhuǎn)發(fā)給用戶，這樣用戶的網(wǎng)絡(luò)地址對服務(wù)提供者而言就隱藏了，但是這個(gè)過程需要代理是可信的。

6? 結(jié)? 論

基于位置服務(wù)（LBS）的廣泛使用也帶了很多隱私問題。對于LBS中的位置隱私保護(hù)問題，國內(nèi)外已有大量文獻(xiàn)進(jìn)行了深入研究，本文總結(jié)了基于位置服務(wù)隱私保護(hù)的方法，包括使用仿真品的匿名通信技術(shù)，點(diǎn)對點(diǎn)的空間隱形方法以及空間和時(shí)間隱藏方法。但諸如如何解決對等點(diǎn)之間的信任問題、如何解決云計(jì)算、大數(shù)據(jù)時(shí)代位置隱私保護(hù)問題亦需納入后續(xù)的研究之中。

參考文獻(xiàn)：

[1] BERESFORD AR，STAJANO F.Location privacy in pervasive computing [J].IEEE Pervasive Computing，2003，2（1）：46-55.

[2] Gruteser，M. and Grunwald，D.Anonymous Usage of Loca-tion-Based Services through Spatial and Temporal Cloaking [C]//Proceedings of the 1st International Conference on Mobile Systems，Applications and Services，San Francisco，2003.

[3] Kido H，Yanagisawa Y，Satoh T. Protection of Location Privacy using Dummies for Location-based Services [C]//International Conference on Data Engineering Workshops. IEEE Computer Society，2005.

[4] Chow C Y，Mokbel M F，Liu X. A peer-to-peer spatial cloaking algorithm for anonymous location-based service [C]//Acm International Symposium on Advances in Geographic Information Systems.ACM，2006.

[5] B.Gedik and L.Liu.A customizable k-anonymity model for protecting location privacy [C]//In Proc.IEEE ICDCS，2005.

[6] M. Gruteser and D. Grunwald. Anonymous Usage of Location-Based Services Through Spatial and Temporal Cloaking [C]//ACM International Conference on Mobile Systems，Applications and Services，2003.

[7] Chi-Yin Chow，Mohamed F. Mokbel，Walid G. Aref. Casper*：Query processing for location services without compromising privacy [J].ACM Trans. Database Syst.，2009，34.

[8] Chow C Y，Hong V L，Chan A T S. Distributed group-based cooperative caching in a mobile broadcast environment [C]//International Conference on Mobile Data Management，2005.

[9] Papadopouli M，Schulzrinne H. Effects of power conservation，wireless coverage and cooperation on data dissemination among mobile devices. In [C]//John Wiley & Sons，Ltd.，2001.

[10] Huang Z，Christian S?ndergaard Jensen，Lu H，et al. Skyline Queries Against Mobile Lightweight Devices in MANETs [J].Icde，2006：66.

[11] Ku W S，Zimmermann R，Wang H，et al. ANNATTO：Adaptive Nearest Neighbor Queries in Travel Time Networks [C]//International Conference on Mobile Data Management. IEEE，2005.

[12] Pfitzmann A，Marit K?hntopp. Anonymity，Unobservability，and Pseudonymity — A Proposal for Terminology [J].2001.

[13] Reiter M K，Rubin A D. Crowds：anonymity for Web transactions [J].ACM Transactions on Information and System Security，1998，1（1）：66-92.

[14] GOLDSCHLAG D，REED M，SYVERSON P，et al.Onion routing for anonymous and private internet connections [J].Communications of the ACM，1999，42（2）：39-47.

作者簡介：魏興民（1984.02-），男，漢族，寧夏固原人，研究生，工程師，研究方向：信息安全。